Récapitulatif Conditions préalables et limitations Architecture Outils Épopées Ressources connexes Pièces jointes

Automatisez les analyses de sécurité pour les charges de travail entre comptes à l'aide d'Amazon Inspector et AWS de Security Hub

Créé par Ramya Pulipaka (AWS) et Mikesh Khanal () AWS

Environnement : Production

Technologies : sécurité, identité, conformité ; gestion et gouvernance

AWSservices : Amazon Inspector ; Amazon SNS ; AWS Lambda ; AWS Security Hub ; Amazon CloudWatch

Récapitulatif

Ce modèle décrit comment détecter automatiquement les vulnérabilités dans les charges de travail entre comptes sur le cloud Amazon Web Services (AWS).

Le modèle permet de créer un calendrier pour les scans basés sur l'hôte des instances Amazon Elastic Compute Cloud EC2 (Amazon) groupées par balises ou pour les scans Amazon Inspector basés sur le réseau. Une AWS CloudFormation pile déploie toutes les AWS ressources et tous les services nécessaires sur vos AWS comptes.

Les résultats d'Amazon Inspector sont exportés vers AWS Security Hub et fournissent des informations sur les vulnérabilités de vos comptes, de vos AWS régions, de vos clouds privés virtuels (VPCs) et de vos EC2 instances. Vous pouvez recevoir ces résultats par e-mail ou créer une rubrique Amazon Simple Notification Service (AmazonSNS) qui utilise un HTTP point de terminaison pour envoyer les résultats aux outils de billetterie, aux informations de sécurité et aux logiciels de gestion des événements (SIEM) ou à d'autres solutions de sécurité tierces.

Conditions préalables et limitations

Prérequis

Adresse e-mail existante pour recevoir les notifications par e-mail d'AmazonSNS.
Point de HTTP terminaison existant utilisé par des outils de billetterie, des SIEM logiciels ou d'autres solutions de sécurité tierces.
AWSComptes actifs hébergeant des charges de travail entre comptes, y compris un compte d'audit central.
Security Hub, activé et configuré. Vous pouvez utiliser ce modèle sans Security Hub, mais nous vous recommandons d'utiliser Security Hub en raison des informations qu'il génère. Pour plus d'informations, consultez la section Configuration de Security Hub dans la documentation du AWS Security Hub.
Un agent Amazon Inspector doit être installé sur chaque EC2 instance que vous souhaitez scanner. Vous pouvez installer l'agent Amazon Inspector sur plusieurs EC2 instances à l'aide de la commande Run de AWS Systems Manager.

Compétences

Expérience d'utilisation self-managed et service-managed autorisations pour les stack sets in AWS CloudFormation. Si vous souhaitez utiliser self-managed les autorisations pour déployer des instances de stack sur des comptes spécifiques dans des régions spécifiques, vous devez créer les rôles AWS Identity and Access Management (IAM) requis. Si vous souhaitez utiliser service-managed des autorisations pour déployer des instances de stack sur des comptes gérés par AWS des Organisations dans des régions spécifiques, vous n'avez pas besoin de créer les IAM rôles requis. Pour plus d'informations, consultez la section Création d'un ensemble de piles dans la AWS CloudFormation documentation.

Limites

Si aucune balise n'est appliquée aux EC2 instances d'un compte, Amazon Inspector analyse toutes les EC2 instances de ce compte.
Les ensembles de AWS CloudFormation piles et le fichier onboard-audit-account .yaml (joint) doivent être déployés dans la même région.
Par défaut, Amazon Inspector Classic ne prend pas en charge les résultats agrégés. Security Hub est la solution recommandée pour consulter les évaluations relatives à plusieurs comptes ou AWS régions.
L'approche de ce modèle peut être appliquée en dessous du quota de publication de 30 000 transactions par seconde (TPS) pour un SNS sujet dans la région USA Est (Virginie du Nord) (us-east-1), bien que les limites varient d'une région à l'autre. Pour évoluer plus efficacement et éviter les pertes de données, nous vous recommandons d'utiliser Amazon Simple Queue Service (AmazonSQS) avant le SNS sujet.

Architecture

Le schéma suivant illustre le flux de travail pour l'analyse automatique EC2 des instances.

Un AWS compte pour exécuter des scans et un compte d'audit distinct pour envoyer des notifications.

Le flux de travail se compose des étapes suivantes :

1. Une EventBridge règle Amazon utilise une expression cron pour s'auto-initier selon un calendrier spécifique et lance Amazon Inspector.

2. Amazon Inspector scanne les EC2 instances étiquetées dans le compte.

3. Amazon Inspector envoie les résultats à Security Hub, qui génère des informations pour le flux de travail, la priorisation et les mesures correctives.

4. Amazon Inspector envoie également le statut de l'évaluation à une SNS rubrique du compte d'audit. Une fonction AWS Lambda est invoquée si un findings reported événement est publié dans le SNS sujet.

5. La fonction Lambda récupère, formate et envoie les résultats à une autre SNS rubrique du compte d'audit.

6. Les résultats sont envoyés aux adresses e-mail abonnées au SNS sujet. Les informations complètes et les recommandations sont envoyées sous JSON format au point de HTTP terminaison abonné.

Pile technologique

AWS Control Tower
EventBridge
IAM
Amazon Inspector
Lambda
Security Hub
Amazon SNS

Outils

AWS CloudFormation— vous AWS CloudFormation aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à gérer ces ressources et plus de temps à vous concentrer sur vos applications.
AWS CloudFormation StackSets— AWS CloudFormation StackSets étend les fonctionnalités des piles en vous permettant de créer, de mettre à jour ou de supprimer des piles sur plusieurs comptes et régions en une seule opération.
AWSControl Tower — AWS Control Tower crée une couche d'abstraction ou d'orchestration qui combine et intègre les fonctionnalités de plusieurs autres AWS services, dont AWS Organizations.
Amazon EventBridge EventBridge est un service de bus d'événements sans serveur qui permet de connecter facilement vos applications à des données provenant de diverses sources.
AWSLambda — Lambda est un service de calcul qui vous permet d'exécuter du code sans provisionner ni gérer de serveurs.
AWSSecurity Hub — Security Hub vous fournit une vue complète de l'état de votre sécurité AWS et vous aide à vérifier que votre environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité.
Amazon SNS — Amazon Simple Notification Service (AmazonSNS) est un service géré qui permet aux éditeurs de transmettre des messages aux abonnés.

Épopées

Tâche Description Compétences requises

Tâche	Description	Compétences requises
Déployez le AWS CloudFormation modèle dans le compte d'audit.	Téléchargez et enregistrez le `onboard-audit-account.yaml` fichier (joint) sur un chemin local sur votre ordinateur. Connectez-vous à la console AWS de gestion de votre compte d'audit, ouvrez la AWS CloudFormation console, puis choisissez Create stack. Choisissez Préparer le modèle dans la section Conditions préalables, puis sélectionnez Le modèle est prêt. Choisissez la source du modèle dans la section Spécifier le modèle, puis choisissez Le modèle est prêt. Téléchargez le `onboard-audit-account.yaml` fichier, puis configurez les options restantes en fonction de vos besoins. Important : Assurez-vous de configurer les paramètres d'entrée suivants : `DestinationEmailAddress`— Entrez une adresse e-mail pour recevoir les résultats. `HTTPEndpoint`— Fournissez un HTTP point de terminaison pour votre billetterie ou vos SIEM outils. Vous pouvez également déployer le AWS CloudFormation modèle à l'aide de l'interface de ligne de AWS commande (AWSCLI). Pour plus d'informations à ce sujet, consultez la section Création d'une pile dans la AWS CloudFormation documentation.	Développeur, ingénieur en sécurité
Confirmez l'SNSabonnement Amazon.	Ouvrez votre boîte e-mail et choisissez Confirmer l'abonnement dans l'e-mail que vous recevez d'AmazonSNS. Cela ouvre une fenêtre de navigateur Web et affiche la confirmation de l'abonnement.	Développeur, ingénieur en sécurité

Déployez le AWS CloudFormation modèle dans le compte d'audit.

Téléchargez et enregistrez le onboard-audit-account.yaml fichier (joint) sur un chemin local sur votre ordinateur.

Connectez-vous à la console AWS de gestion de votre compte d'audit, ouvrez la AWS CloudFormation console, puis choisissez Create stack.

Choisissez Préparer le modèle dans la section Conditions préalables, puis sélectionnez Le modèle est prêt. Choisissez la source du modèle dans la section Spécifier le modèle, puis choisissez Le modèle est prêt. Téléchargez le onboard-audit-account.yaml fichier, puis configurez les options restantes en fonction de vos besoins.

Important : Assurez-vous de configurer les paramètres d'entrée suivants :

DestinationEmailAddress— Entrez une adresse e-mail pour recevoir les résultats.
HTTPEndpoint— Fournissez un HTTP point de terminaison pour votre billetterie ou vos SIEM outils.

Vous pouvez également déployer le AWS CloudFormation modèle à l'aide de l'interface de ligne de AWS commande (AWSCLI). Pour plus d'informations à ce sujet, consultez la section Création d'une pile dans la AWS CloudFormation documentation.

Développeur, ingénieur en sécurité

Confirmez l'SNSabonnement Amazon.

Ouvrez votre boîte e-mail et choisissez Confirmer l'abonnement dans l'e-mail que vous recevez d'AmazonSNS. Cela ouvre une fenêtre de navigateur Web et affiche la confirmation de l'abonnement.

Développeur, ingénieur en sécurité

Tâche Description Compétences requises

Tâche	Description	Compétences requises
Créez des ensembles de piles dans le compte d'audit.	Téléchargez le `vulnerability-management-program.yaml` fichier (joint) sur un chemin local de votre ordinateur. Sur la AWS CloudFormation console, choisissez Afficher les stacksets, puis Create. StackSet Choisissez Le modèle est prêt, choisissez Télécharger un fichier modèle, puis téléchargez le `vulnerability-management-program.yaml`fichier. Si vous souhaitez utiliser `self-managed` des autorisations, suivez les instructions de la section Créer un ensemble de piles avec des autorisations autogérées dans la AWS CloudFormation documentation. Cela crée des ensembles de piles dans des comptes individuels. Si vous souhaitez utiliser des `service-managed` autorisations, suivez les instructions de la section Créer un ensemble de piles avec des autorisations gérées par les services dans la AWS CloudFormation documentation. Cela crée des ensembles de piles dans l'ensemble de votre organisation ou dans des unités organisationnelles spécifiques (OUs). Important : Assurez-vous que les paramètres d'entrée suivants sont configurés pour vos ensembles de piles : `AssessmentSchedule`— Le calendrier d' EventBridge utilisation des expressions cron. `Duration`— La durée de l'évaluation Amazon Inspector exécutée en secondes. `CentralSNSTopicArn`— Le nom de la ressource Amazon (ARN) pour le SNS sujet central. `Tagkey`— La clé de balise associée au groupe de ressources. `Tagvalue`— La valeur de balise associée au groupe de ressources. Si vous souhaitez scanner EC2 des instances du compte d'audit, vous devez exécuter le `vulnerability-management-program.yaml` fichier sous forme de AWS CloudFormation pile dans le compte d'audit.	Développeur, ingénieur en sécurité
Validez la solution.	Vérifiez que vous recevez les résultats par e-mail ou par HTTP terminal selon le calendrier que vous avez spécifié pour Amazon Inspector.	Développeur, ingénieur en sécurité

Créez des ensembles de piles dans le compte d'audit.

Téléchargez le vulnerability-management-program.yaml fichier (joint) sur un chemin local de votre ordinateur.

Sur la AWS CloudFormation console, choisissez Afficher les stacksets, puis Create. StackSet Choisissez Le modèle est prêt, choisissez Télécharger un fichier modèle, puis téléchargez le vulnerability-management-program.yamlfichier.

Si vous souhaitez utiliser self-managed des autorisations, suivez les instructions de la section Créer un ensemble de piles avec des autorisations autogérées dans la AWS CloudFormation documentation. Cela crée des ensembles de piles dans des comptes individuels.

Si vous souhaitez utiliser des service-managed autorisations, suivez les instructions de la section Créer un ensemble de piles avec des autorisations gérées par les services dans la AWS CloudFormation documentation. Cela crée des ensembles de piles dans l'ensemble de votre organisation ou dans des unités organisationnelles spécifiques (OUs).

Important : Assurez-vous que les paramètres d'entrée suivants sont configurés pour vos ensembles de piles :

AssessmentSchedule— Le calendrier d' EventBridge utilisation des expressions cron.
Duration— La durée de l'évaluation Amazon Inspector exécutée en secondes.
CentralSNSTopicArn— Le nom de la ressource Amazon (ARN) pour le SNS sujet central.
Tagkey— La clé de balise associée au groupe de ressources.
Tagvalue— La valeur de balise associée au groupe de ressources.

Si vous souhaitez scanner EC2 des instances du compte d'audit, vous devez exécuter le vulnerability-management-program.yaml fichier sous forme de AWS CloudFormation pile dans le compte d'audit.

Développeur, ingénieur en sécurité

Validez la solution.

Vérifiez que vous recevez les résultats par e-mail ou par HTTP terminal selon le calendrier que vous avez spécifié pour Amazon Inspector.

Développeur, ingénieur en sécurité

Ressources connexes

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Automatisez la correction des résultats standard du Security Hub

Réactivez automatiquement AWS CloudTrail en utilisant les meilleures pratiques de sécurité